مرجع مخطط تسوية حدث معالجة نموذج معلومات الأمان المتقدم (ASIM) (معاينة عامة)
ملاحظة
يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.
يتم استخدام مخطط تسوية حدث العملية لوصف نشاط نظام التشغيل لتشغيل عملية وإنهائها. يتم الإبلاغ عن مثل هذه الأحداث بواسطة أنظمة التشغيل وأنظمة الأمان، مثل أنظمة الكشف التلقائي والاستجابة على النقط النهائية (اكتشاف نقطة النهاية والاستجابة).
العملية، كما هو محدد بواسطة OSSEM، هي عنصر احتواء وإدارة يمثل مثيلا قيد التشغيل لبرنامج. في حين أن العمليات نفسها لا تعمل، فإنها تدير مؤشرات الترابط التي تقوم بتشغيل التعليمات البرمجية وتنفيذها.
لمزيد من المعلومات حول التطبيع في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
هام
مخطط تسوية حدث العملية قيد المعاينة حاليا. يتم توفير هذه الميزة دون اتفاقية مستوى الخدمة، ولا يوصى بها لأحمال عمل الإنتاج.
تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.
موزعي
لاستخدام المحللات الموحدة التي تعمل على توحيد جميع المحللات المدرجة والتأكد من تحليلها عبر جميع المصادر المكونة، استخدم أسماء الجداول التالية في استعلاماتك:
- imProcessCreate للاستعلامات التي تتطلب معلومات إنشاء العملية. هذه الاستعلامات هي الحالة الأكثر شيوعا.
- imProcessTerminate للاستعلامات التي تتطلب معلومات إنهاء العملية.
للحصول على قائمة محللات أحداث العملية يوفر Microsoft Sentinel إشارة خارج الصندوق إلى قائمة محللات ASIM.
نشر محللات المصادقة من مستودع GitHub Microsoft Sentinel.
لمزيد من المعلومات، راجع نظرة عامة على محللات ASIM.
إضافة محللاتك التي تمت تسويتها
عند تنفيذ محللات أحداث العملية المخصصة، قم بتسمية وظائف KQL باستخدام بناء الجملة التالي: imProcessCreate<vendor><Product> و imProcessTerminate<vendor><Product>. استبدل im بالإصدار ASim الأقل معلمة.
أضف دالة KQL إلى محللات التوحيد كما هو موضح في إدارة محللات ASIM.
تصفية معلمات المحلل
im يدعم المحللات و vim*معلمات التصفية. في حين أن هذه المحللات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.
تتوفر معلمات التصفية التالية:
| الاسم | النوع | الوصف |
|---|---|---|
| وقت البدء | datetime | تصفية الأحداث العملية التي حدثت فقط في هذا الوقت أو بعده. |
| وقت الانتهاء | datetime | تصفية الاستعلامات معالجة الأحداث التي حدثت في هذا الوقت أو قبله فقط. |
| commandline_has_any | ديناميكي | تصفية أحداث المعالجة التي يحتوي سطر الأوامر المنفذ عليها على أي من القيم المدرجة فقط. يقتصر طول القائمة على 10,000 عنصر. |
| commandline_has_all | ديناميكي | قم بتصفية الأحداث المعالجة فقط التي يحتوي سطر الأوامر المنفذ عليها على كافة القيم المدرجة.. يقتصر طول القائمة على 10,000 عنصر. |
| commandline_has_any_ip_prefix | ديناميكي | تصفية أحداث المعالجة التي يحتوي سطر الأوامر المنفذ عليها فقط على جميع عناوين IP المدرجة أو بادئات عناوين IP. يجب أن تنتهي البادئات ب .، على سبيل المثال: 10.0.. يقتصر طول القائمة على 10,000 عنصر. |
| actingprocess_has_any | ديناميكي | تصفية أحداث العملية التي يحتوي اسم العملية بالنيابة لها، والذي يتضمن مسار العملية بأكمله، على أي من القيم المدرجة. يقتصر طول القائمة على 10,000 عنصر. |
| targetprocess_has_any | ديناميكي | تصفية أحداث المعالجة فقط التي يحتوي اسم العملية الهدف لها، والذي يتضمن مسار العملية بأكمله، على أي من القيم المدرجة. يقتصر طول القائمة على 10,000 عنصر. |
| parentprocess_has_any | ديناميكي | تصفية أحداث المعالجة فقط التي يحتوي اسم العملية الهدف لها، والذي يتضمن مسار العملية بأكمله، على أي من القيم المدرجة. يقتصر طول القائمة على 10,000 عنصر. |
| targetusername_has أو actorusername_has | سلسلة | تصفية أحداث المعالجة فقط التي يحتوي اسم المستخدم الهدف (لأحداث إنشاء العملية) أو اسم مستخدم المستخدم (لأحداث إنهاء العملية) على أي من القيم المدرجة. يقتصر طول القائمة على 10,000 عنصر. |
| dvcipaddr_has_any_prefix | ديناميكي | تصفية أحداث المعالجة فقط التي يطابق لها عنوان IP للجهاز أي من عناوين IP المدرجة أو بادئات عناوين IP. يجب أن تنتهي البادئات ب .، على سبيل المثال: 10.0.. يقتصر طول القائمة على 10,000 عنصر. |
| dvchostname_has_any | ديناميكي | تصفية الأحداث المعالجة فقط التي يحتوي اسم مضيف الجهاز على أي من القيم المدرجة لها. يقتصر طول القائمة على 10,000 عنصر. |
| نوع الحدث | سلسلة | تصفية أحداث معالجة النوع المحدد فقط. |
أو على سبيل المثال، لتصفية أحداث المصادقة فقط من اليوم الأخير إلى مستخدم معين، استخدم:
imProcessCreate (targetusername_has = 'johndoe', starttime = ago(1d), endtime=now())
تلميح
لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم حرفيا ديناميكيا بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.']).
المحتوى الذي تمت تسويته
للحصول على قائمة كاملة بقواعد التحليلات التي تستخدم أحداث العملية التي تمت تسويتها، راجع معالجة محتوى أمان الحدث.
تفاصيل المخطط
يتم محاذاة نموذج معلومات حدث العملية مع مخطط كيان عملية OSSEM.
حقول ASIM الشائعة
هام
يتم وصف الحقول الشائعة لكافة المخططات بالتفصيل في مقالة الحقول الشائعة ASIM .
الحقول المشتركة مع إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث نشاط العملية:
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| نوع الحدث | إلزامي | تعداد | يصف العملية التي أبلغ عنها السجل. بالنسبة لسجلات المعالجة، تتضمن القيم المدعومة ما يلي: - ProcessCreated - ProcessTerminated |
| EventSchemaVersion | إلزامي | سلسلة | إصدار المخطط. إصدار المخطط الموثق هنا هو 0.1.2 |
| EventSchema | اختياري | سلسلة | اسم المخطط الموثق هنا هو ProcessEvent. |
| حقول Dvc | بالنسبة لأحداث نشاط العملية، تشير حقول الجهاز إلى النظام الذي تم تنفيذ العملية عليه. |
هام
EventSchema الحقل اختياري حاليا ولكنه سيصبح إلزاميا في 1 سبتمبر 2022.
كافة الحقول الشائعة
الحقول التي تظهر في الجدول أدناه شائعة لجميع مخططات ASIM. أي إرشادات محددة أعلاه تتجاوز الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريا بشكل عام، ولكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع مقالة الحقول المشتركة ASIM .
| الفصل | الحقول |
|---|---|
| إلزامي | - عدد الأحداث - EventStartTime - EventEndTime - نوع الحدث - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| المستحسنة | - EventResultDetails - حدث كلي - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - نوع DvcId - DvcAction |
| اختياري | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - حقول إضافية - وصف DvcDescription |
معالجة الحقول الخاصة بالحدث
الحقول المدرجة في الجدول أدناه خاصة بأحداث المعالجة، ولكنها تشبه الحقول في المخططات الأخرى وتتبع اصطلاحات تسمية مماثلة.
يشير مخطط حدث العملية إلى الكيانات التالية، والتي تعتبر مركزية لنشاط إنشاء العمليات وإنهائها:
- المستخدم - المستخدم الذي بدأ إنشاء العملية أو إنهائها.
- ActingProcess - العملية التي يستخدمها المستخدم لبدء إنشاء العملية أو إنهائها.
- TargetProcess - العملية الجديدة.
- TargetUser - المستخدم الذي تستخدم بيانات اعتماده لإنشاء العملية الجديدة.
- ParentProcess - العملية التي بدأت عملية الممثل.
الأسماء المستعارة
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| المستخدم | الاسم المستعار | الاسم المستعار ل TargetUsername. مثال: CONTOSO\dadmin |
|
| عملية | الاسم المستعار | الاسم المستعار ل TargetProcessName مثال: C:\Windows\System32\rundll32.exe |
|
| فلكس | الاسم المستعار | الاسم المستعار ل TargetProcessCommandLine | |
| التجزئة | الاسم المستعار | الاسم المستعار لأفضل تجزئة متاحة للعملية الهدف. |
حقول الممثل
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| الممثلUsername | إلزامي | سلسلة | اسم المستخدم الخاص بالممثل، بما في ذلك معلومات المجال عند توفره. للحصول على التنسيق المعتمد أنواع المعرف المختلفة، راجع كيان المستخدم. استخدم النموذج البسيط فقط إذا لم تكن معلومات المجال متوفرة. تخزين نوع اسم المستخدم في حقل ActorUsernameType . إذا كانت تنسيقات اسم المستخدم الأخرى متوفرة، فخزنها في الحقول ActorUsername<UsernameType>.مثال: AlbertE |
| نوع المستخدمUsername | إلزامي | تعداد | يحدد نوع اسم المستخدم المخزن في حقل ActorUsername . للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UsernameType في مقالة نظرة عامة على المخطط. مثال: Windows |
| معرف المستخدم الممثل | المستحسنة | سلسلة | تمثيل فريد قابل للقراءة الآلية أبجدية رقمية وفريدة من الممثل. للحصول على التنسيق المعتمد أنواع المعرف المختلفة، راجع كيان المستخدم. مثال: S-1-12 |
| نوع المستخدم المستخدم | المستحسنة | سلسلة | نوع المعرف المخزن في الحقل ActorUserId . للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UserIdType في مقالة نظرة عامة على المخطط. |
| معرف المستخدم | اختياري | سلسلة | المعرف الفريد لجلسة تسجيل الدخول للممثل. مثال: 999ملاحظة: يتم تعريف النوع كسلسلة لدعم أنظمة مختلفة، ولكن في Windows يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهاز Windows واستخدمت نوعا مختلفا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فقم بتحويلها إلى قيمة عشرية. |
| نوع المستخدم المستخدم | اختياري | UserType | نوع الممثل. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UserType في مقالة نظرة عامة على المخطط. ملاحظة: قد يتم توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. تخزين القيمة الأصلية في حقل ActorOriginalUserType . |
| نوع المستخدم الأصلي للممثل | اختياري | سلسلة | نوع المستخدم الوجهة الأصلي، إذا تم توفيره من قبل جهاز إعداد التقارير. |
حقول معالجة العمل
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| ActingProcessCommandLine | اختياري | سلسلة | سطر الأوامر المستخدم لتشغيل عملية التمثيل. مثال: "choco.exe" -v |
| ActingProcessName | اختياري | سلسلة | اسم عملية التمثيل. عادة ما يتم اشتقاق هذا الاسم من الصورة أو الملف القابل للتنفيذ المستخدم لتعريف التعليمات البرمجية والبيانات الأولية التي تم تعيينها في مساحة العنوان الظاهري للعملية. مثال: C:\Windows\explorer.exe |
| ActingProcessFileCompany | اختياري | سلسلة | الشركة التي أنشأت ملف صورة العملية بالنيابة. مثال: Microsoft |
| ActingProcessFileDescription | اختياري | سلسلة | الوصف المضمن في معلومات الإصدار لملف صورة العملية بالنيابة. مثال: Notepad++ : a free (GPL) source code editor |
| ActingProcessFileProduct | اختياري | سلسلة | اسم المنتج من معلومات الإصدار في ملف صورة العملية بالنيابة. مثال: Notepad++ |
| ActingProcessFileVersion | اختياري | سلسلة | إصدار المنتج من معلومات الإصدار لملف صورة العملية بالنيابة. مثال: 7.9.5.0 |
| ActingProcessFileInternalName | اختياري | سلسلة | اسم الملف الداخلي للمنتج من معلومات إصدار ملف صورة العملية بالنيابة. |
| ActingProcessFileOriginalName | اختياري | سلسلة | اسم الملف الأصلي للمنتج من معلومات إصدار ملف صورة العملية بالنيابة. مثال: Notepad++.exe |
| ActingProcessIsHidden | اختياري | منطقي | إشارة إلى ما إذا كانت عملية التمثيل في الوضع المخفي. |
| ActingProcessInjectedAddress | اختياري | سلسلة | عنوان الذاكرة الذي يتم فيه تخزين عملية التمثيل المسؤولة. |
| ActingProcessId | إلزامي | سلسلة | معرف العملية (PID) لعملية التمثيل. مثال: 48610176 ملاحظة: يتم تعريف النوع كسلسلة لدعم الأنظمة المختلفة، ولكن على Windows وLinux يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهاز Windows أو Linux واستخدمت نوعا مختلفا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فقم بتحويلها إلى قيمة عشرية. |
| ActingProcessGuid | اختياري | سلسلة | معرف فريد تم إنشاؤه (GUID) لعملية التمثيل. تمكين تحديد العملية عبر الأنظمة. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ActingProcessIntegrityLevel | اختياري | سلسلة | كل عملية لها مستوى تكامل يتم تمثيله في الرمز المميز الخاص بها. تحدد مستويات التكامل مستوى عملية الحماية أو الوصول. يحدد Windows مستويات التكامل التالية: منخفضةومتوسطة وعاليةوالنظام. يتلقى المستخدمون القياسيون مستوى تكامل متوسطا ويتلقى المستخدمون المرتفعون مستوى تكامل عاليا . لمزيد من المعلومات، راجع التحكم الإلزامي في التكامل - تطبيقات Win32. |
| ActingProcessMD5 | اختياري | سلسلة | تجزئة MD5 لملف صورة العملية بالنيابة. مثال: 75a599802f1fa166cdadb360960b1dd0 |
| ActingProcessSHA1 | اختياري | SHA1 | تجزئة SHA-1 لملف صورة العملية بالنيابة. مثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ActingProcessSHA256 | اختياري | SHA256 | تجزئة SHA-256 لملف صورة العملية بالنيابة. مثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ActingProcessSHA512 | اختياري | SHA521 | تجزئة SHA-512 لملف صورة العملية بالنيابة. |
| ActingProcessIMPHASH | اختياري | سلسلة | تجزئة استيراد كافة مكتبات DLL المكتبة التي تستخدمها عملية التمثيل. |
| ActingProcessCreationTime | اختياري | التاريخ والوقت | تاريخ ووقت بدء عملية التمثيل. |
| ActingProcessTokenElevation | اختياري | سلسلة | رمز مميز يشير إلى وجود أو عدم وجود رفع امتياز التحكم في وصول المستخدم (UAC) المطبق على عملية التمثيل. مثال: None |
| ActingProcessFileSize | اختياري | Long | حجم الملف الذي قام بتشغيل عملية التمثيل. |
حقول المعالجة الأصل
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| ParentProcessName | اختياري | سلسلة | اسم العملية الأصل. عادة ما يتم اشتقاق هذا الاسم من الصورة أو الملف القابل للتنفيذ المستخدم لتعريف التعليمات البرمجية والبيانات الأولية التي تم تعيينها في مساحة العنوان الظاهري للعملية. مثال: C:\Windows\explorer.exe |
| ParentProcessFileCompany | اختياري | سلسلة | اسم الشركة التي أنشأت ملف صورة العملية الأصل. مثال: Microsoft |
| ParentProcessFileDescription | اختياري | سلسلة | الوصف من معلومات الإصدار في ملف صورة العملية الأصل. مثال: Notepad++ : a free (GPL) source code editor |
| ParentProcessFileProduct | اختياري | سلسلة | اسم المنتج من معلومات الإصدار في ملف صورة العملية الأصل. مثال: Notepad++ |
| ParentProcessFileVersion | اختياري | سلسلة | إصدار المنتج من معلومات الإصدار في ملف صورة العملية الأصل. مثال: 7.9.5.0 |
| ParentProcessIsHidden | اختياري | منطقي | إشارة إلى ما إذا كانت العملية الأصل في الوضع المخفي. |
| ParentProcessInjectedAddress | اختياري | سلسلة | عنوان الذاكرة الذي يتم تخزين العملية الأصل المسؤولة فيه. |
| ParentProcessId | إلزامي | سلسلة | معرف العملية (PID) للعملية الأصل. مثال: 48610176 |
| ParentProcessGuid | اختياري | سلسلة | معرف فريد تم إنشاؤه (GUID) للعملية الأصل. تمكين تحديد العملية عبر الأنظمة. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| ParentProcessIntegrityLevel | اختياري | سلسلة | كل عملية لها مستوى تكامل يتم تمثيله في الرمز المميز الخاص بها. تحدد مستويات التكامل مستوى عملية الحماية أو الوصول. يحدد Windows مستويات التكامل التالية: منخفضةومتوسطة وعاليةوالنظام. يتلقى المستخدمون القياسيون مستوى تكامل متوسطا ويتلقى المستخدمون المرتفعون مستوى تكامل عاليا . لمزيد من المعلومات، راجع التحكم الإلزامي في التكامل - تطبيقات Win32. |
| ParentProcessMD5 | اختياري | MD5 | تجزئة MD5 لملف صورة العملية الأصل. مثال: 75a599802f1fa166cdadb360960b1dd0 |
| ParentProcessSHA1 | اختياري | SHA1 | تجزئة SHA-1 لملف صورة العملية الأصل. مثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| ParentProcessSHA256 | اختياري | SHA256 | تجزئة SHA-256 لملف صورة العملية الأصل. مثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| ParentProcessSHA512 | اختياري | SHA512 | تجزئة SHA-512 لملف صورة العملية الأصل. |
| ParentProcessIMPHASH | اختياري | سلسلة | استيراد تجزئة كافة DLLs المكتبة التي تستخدمها العملية الأصل. |
| ParentProcessTokenElevation | اختياري | سلسلة | رمز مميز يشير إلى وجود أو عدم وجود رفع امتياز التحكم في وصول المستخدم (UAC) المطبق على العملية الأصل. مثال: None |
| ParentProcessCreationTime | اختياري | التاريخ والوقت | تاريخ ووقت بدء العملية الأصلية. |
حقول المستخدم الهدف
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| TargetUsername | إلزامي لأحداث إنشاء العملية. | سلسلة | اسم المستخدم الهدف، بما في ذلك معلومات المجال عند توفره. للحصول على التنسيق المعتمد أنواع المعرف المختلفة، راجع كيان المستخدم. استخدم النموذج البسيط فقط إذا لم تكن معلومات المجال متوفرة. تخزين نوع اسم المستخدم في حقل TargetUsernameType . إذا كانت تنسيقات اسم المستخدم الأخرى متوفرة، فخزنها في الحقول TargetUsername<UsernameType>.مثال: AlbertE |
| TargetUsernameType | إلزامي لأحداث إنشاء العملية. | تعداد | تحديد نوع اسم المستخدم المخزن في الحقل TargetUsername . للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UsernameType في مقالة نظرة عامة على المخطط. مثال: Windows |
| TargetUserId | المستحسنة | سلسلة | تمثيل فريد قابل للقراءة الآلية، أبجدية رقمية، وفريدة للمستخدم الهدف. للحصول على التنسيق المعتمد أنواع المعرف المختلفة، راجع كيان المستخدم. مثال: S-1-12 |
| TargetUserIdType | المستحسنة | سلسلة | نوع المعرف المخزن في الحقل TargetUserId . للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UserIdType في مقالة نظرة عامة على المخطط. |
| TargetUserSessionId | اختياري | سلسلة | المعرف الفريد لجلسة تسجيل دخول المستخدم المستهدف. مثال: 999 ملاحظة: يتم تعريف النوع كسلسلة لدعم أنظمة مختلفة، ولكن في Windows يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهاز Windows أو Linux واستخدمت نوعا مختلفا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فقم بتحويلها إلى قيمة عشرية. |
| TargetUserType | اختياري | UserType | نوع الممثل. للحصول على قائمة بالقيم المسموح بها ومعلومات إضافية، راجع UserType في مقالة نظرة عامة على المخطط. ملاحظة: قد يتم توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. تخزين القيمة الأصلية في حقل TargetOriginalUserType . |
| TargetOriginalUserType | اختياري | سلسلة | نوع المستخدم الوجهة الأصلي، إذا تم توفيره من قبل جهاز إعداد التقارير. |
حقول العملية الهدف
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| TargetProcessName | إلزامي | سلسلة | اسم العملية الهدف. عادة ما يتم اشتقاق هذا الاسم من الصورة أو الملف القابل للتنفيذ المستخدم لتعريف التعليمات البرمجية والبيانات الأولية التي تم تعيينها في مساحة العنوان الظاهري للعملية. مثال: C:\Windows\explorer.exe |
| TargetProcessFileCompany | اختياري | سلسلة | اسم الشركة التي أنشأت ملف صورة العملية الهدف. مثال: Microsoft |
| TargetProcessFileDescription | اختياري | سلسلة | الوصف من معلومات الإصدار في ملف صورة العملية الهدف. مثال: Notepad++ : a free (GPL) source code editor |
| TargetProcessFileProduct | اختياري | سلسلة | اسم المنتج من معلومات الإصدار في ملف صورة العملية الهدف. مثال: Notepad++ |
| TargetProcessFileSize | اختياري | سلسلة | حجم الملف الذي قام بتشغيل العملية المسؤولة عن الحدث. |
| TargetProcessFileVersion | اختياري | سلسلة | إصدار المنتج من معلومات الإصدار في ملف صورة العملية الهدف. مثال: 7.9.5.0 |
| TargetProcessFileInternalName | اختياري | سلسلة | اسم الملف الداخلي للمنتج من معلومات إصدار ملف الصورة للعملية الهدف. |
| TargetProcessFileOriginalName | اختياري | سلسلة | اسم الملف الأصلي للمنتج من معلومات الإصدار لملف الصورة للعملية الهدف. |
| TargetProcessIsHidden | اختياري | منطقي | إشارة إلى ما إذا كانت العملية الهدف في الوضع المخفي. |
| TargetProcessInjectedAddress | اختياري | سلسلة | عنوان الذاكرة الذي يتم فيه تخزين العملية الهدف المسؤولة. |
| TargetProcessMD5 | اختياري | MD5 | تجزئة MD5 لملف صورة العملية الهدف. مثال: 75a599802f1fa166cdadb360960b1dd0 |
| TargetProcessSHA1 | اختياري | SHA1 | تجزئة SHA-1 لملف صورة العملية الهدف. مثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetProcessSHA256 | اختياري | SHA256 | تجزئة SHA-256 لملف صورة العملية الهدف. مثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetProcessSHA512 | اختياري | SHA512 | تجزئة SHA-512 لملف صورة العملية الهدف. |
| TargetProcessIMPHASH | اختياري | سلسلة | استيراد تجزئة كافة مكتبات DLL التي تستخدمها العملية الهدف. |
| نوع التجزئة | المستحسنة | سلسلة | نوع التجزئة المخزنة في حقل الاسم المستعار ل HASH، والقيم المسموح بها هي MD5و SHASHA256SHA512 و و.IMPHASH |
| TargetProcessCommandLine | إلزامي | سلسلة | سطر الأوامر المستخدم لتشغيل العملية الهدف. مثال: "choco.exe" -v |
| TargetProcessCurrentDirectory | اختياري | سلسلة | الدليل الحالي الذي يتم فيه تنفيذ العملية الهدف. مثال: c:\windows\system32 |
| TargetProcessCreationTime | إلزامي | التاريخ والوقت | إصدار المنتج من معلومات الإصدار لملف صورة العملية الهدف. |
| TargetProcessId | إلزامي | سلسلة | معرف العملية (PID) للعملية الهدف. مثال: 48610176ملاحظة: يتم تعريف النوع كسلسلة لدعم الأنظمة المختلفة، ولكن على Windows وLinux يجب أن تكون هذه القيمة رقمية. إذا كنت تستخدم جهاز Windows أو Linux واستخدمت نوعا مختلفا، فتأكد من تحويل القيم. على سبيل المثال، إذا استخدمت قيمة سداسية عشرية، فقم بتحويلها إلى قيمة عشرية. |
| TargetProcessGuid | اختياري | سلسلة | معرف فريد تم إنشاؤه (GUID) للعملية الهدف. تمكين تحديد العملية عبر الأنظمة. مثال: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
| TargetProcessIntegrityLevel | اختياري | سلسلة | كل عملية لها مستوى تكامل يتم تمثيله في رمزها المميز. تحدد مستويات التكامل مستوى عملية الحماية أو الوصول. يحدد Windows مستويات التكامل التالية: منخفضةومتوسطة وعاليةوالنظام. يتلقى المستخدمون القياسيون مستوى تكامل متوسطا ويتلقى المستخدمون المرتفعون مستوى تكامل عاليا . لمزيد من المعلومات، راجع التحكم الإلزامي في التكامل - تطبيقات Win32. |
| TargetProcessTokenElevation | اختياري | سلسلة | نوع الرمز المميز الذي يشير إلى وجود أو عدم وجود رفع امتياز التحكم في وصول المستخدم (UAC) المطبق على العملية التي تم إنشاؤها أو إنهاؤها. مثال: None |
تحديثات المخطط
هذه هي التغييرات في الإصدار 0.1.1 من المخطط:
- تمت إضافة الحقل
EventSchema- اختياري حاليا، ولكنه سيصبح إلزاميا في 1 سبتمبر 2022.
هذه هي التغييرات في الإصدار 0.1.2 من المخطط
- تمت إضافة الحقول
ActorUserTypeوActorOriginalUserTypeTargetUserTypeوTargetOriginalUserTypeو و.HashType
الخطوات التالية
لمزيد من المعلومات، انظر: